金融业是国家重要的基础设施之一。近年来，人工智能、大数据、云计算、物联网等前沿技术加速落地应用，金融业所面临的网络安全环境也开始变得日趋复杂。有关金融业遭受攻击的报道屡屡见诸报端，从数据泄漏到APT攻击，技术手段花样多，令人防不胜防。

为深入推进互联网金融支付产业各方在风险联防联控等领域的合作与交流，11月24日，“2020 年度互联网金融支付产业安全联盟大会”在湖南长沙召开。大会以“拥抱产业科技新变革 共筑支付安全新格局”为主题，汇聚了公安部、中国银联、商业银行、非银行支付机构、通信运营商、安全厂商相关负责人，围绕打击支付领域新型犯罪、治理网络赌博、智能风控技术应用、支付风险变化趋势等行业热点话题，逐一展开探讨。

中国金融认证中心（CFCA）信息安全网络攻防团队负责人宋鑫磊受邀出席，并就金融业攻防演练实战项目中的经验进行了重点分享，以供防守防御建设参考。

CFCA信息安全网络攻防团队负责人宋鑫磊

网络安全的本质是对抗，对抗的本质是攻防两端能力的较量。宋鑫磊表示，自国家启动“护网行动”以来，防御效果显著，通过实网攻防对抗，很多隐藏的漏洞被及时发掘出来，一定程度上加强了企业内各部门间的合作，安全人员的业务水平也变向获得历练。

攻防演练的形式，大致可分为全盘演练、专项演练及假设演练，聚焦到金融行业，几种演练方式都有相关实践。但是金融行业因具有一定的特殊性，其攻防演练与常规攻防略有不同，主要表现为：

限定范围：通常会从金融机构内部选择某一或几个部分作为一次攻防演练的目标；限定结果：通常不能在生产系统中使用有潜在风险的技术、工具；有所侧重：通常比较重视边界安全、办公网安全、无线网安全及员工个人安全意识。

会议现场，宋鑫磊举了四起真实的金融机构攻防演练案例，分别以无线网络安全、VPN安全、员工个人安全意识、WIFI及办公网安全为目标，对用到的攻击方法、攻击路径等进行了具体分析。

“尽管这四起案例的关注点不一样，但我们的测试结果均显示，网络中没有绝对的安全。”宋鑫磊建议到，永远有不曾见识过的力量，我们要始终保持敬畏之心；安全没有一劳永逸、边界一定会被突破，所以要正视风险，做好打持久战的准备；攻防的本质是与人的对抗，应在人才、设备等安全方面有合理投入；日常工作听起来琐碎，但真正遇到攻击时才体现出极大用处，有必要做好基础工作与自我监督。

多年来，CFCA作为国家重要的金融信息安全基础设施，积累了丰富的信息安全实施和攻防实战经验，将以终为始，继续加大网络安全人才的投入，协同产业各方之间的合作，共同应对金融业安全风险新挑战。

责任编辑：韩希宇